AWS上的應用程序SSO

Question

有人可以幫助我瞭解我的理解嗎？

所以我明白如何使用ADFS和SAML通過IAM向控制檯提供SSO訪問。但我不太清楚如何在應用程序級別完成這項工作。

所以以MS Dynamics爲例。它將位於VPC中託管的域控制器上的EC2實例（用於mgt等）。然而，用戶本身將在本地AD服務器上，我們希望通過該預置AD服務器驗證訪問動態網頁前端的用戶。這與在兩個站點之間設置ADFS並將應用程序本身配置爲使用基於聲明的身份驗證的ADFS/SAML一樣簡單嗎？

Answer 1

對於應用程序級支持，它取決於應用程序支持基於聲明/ SAML身份驗證的能力。 CRM支持ADFS配置。您有以下兩種選擇之一：

1. 如果您真的只是爲您的公司員工提供訪問權限，那麼您可以將其直接掛接到您的本地ADFS。如果它需要合作伙伴訪問，ADFS仍然可以聯合其他ADFS/IDP組織。
2. 您可以在AWS中將它設置在DC旁邊或其上，並將其視爲聯合供應商，然後將信任設置爲用戶所在的公司ADFS。

我推薦＃1，因爲它更簡單。只有在您將此服務器作爲不同的公司運營時，或者您正在此AWS網站中構建多個服務器應用程序（需要本地ADFS）才能進行服務器到服務器的通信時，請使用＃2。

謝謝 // Sam